Насколько безопасен Интернет-магазин Chrome?

Около 33% всех пользователей Chromium имеют какой-то плагин для браузера. Вместо того, чтобы быть нишей, передовой технологией, используемой исключительно опытными пользователями, надстройки, безусловно, являются мейнстримом, большинство из которых поступают из Интернет-магазина Chrome и Рынка надстроек Firefox.

Но насколько они безопасны?

Согласно исследованиям, которые будут представлены на симпозиуме IEEE по безопасности и конфиденциальности, ответ не очень. Исследование, проведенное при поддержке Google, показало, что десятки миллионов пользователей Chrome установили несколько различных вредоносных программ на основе надстроек, что составляет 5% от общего трафика Google.

В результате исследования из магазина приложений Chrome было удалено почти 200 плагинов, что поставило под вопрос общую безопасность рынка.

Итак, что делает Google, чтобы обезопасить нас, и как вы можете обнаружить мошенническое дополнение? Я узнал.

Откуда берутся дополнения

Называйте их как хотите — расширения браузера, плагины или дополнения — все они приходят из одного места. Независимые сторонние разработчики, производящие продукты, которые, по их мнению, служат потребности или решают проблему.

расширения хром

Дополнения для браузера обычно пишутся с использованием веб-технологий, таких как HTML, CSS и JavaScript.

и обычно создаются для одного конкретного браузера, хотя есть некоторые сторонние сервисы, которые облегчают создание кроссплатформенных плагинов для браузера.

Как только плагин достиг уровня завершения и протестирован, он выпускается. Можно распространять плагин независимо, хотя подавляющее большинство разработчиков предпочитают распространять их через магазины расширений Mozilla, Google и Microsoft.

Хотя, прежде чем он когда-либо коснется компьютера пользователя, его необходимо протестировать, чтобы убедиться в его безопасном использовании. Вот как это работает в магазине приложений Google Chrome.

Сохраняя Chrome Safe

От подачи продления до его возможной публикации 60 минут ожидания. Что здесь происходит? Что ж, за кулисами Google следит за тем, чтобы плагин не содержал никакой вредоносной логики или чего-либо, что могло бы поставить под угрозу конфиденциальность или безопасность пользователей.

Этот процесс известен как «Расширенная проверка элементов» (IEV) и представляет собой серию строгих проверок, которые проверяют код плагина и его поведение при установке для выявления вредоносных программ.

Google также опубликовал своего рода «руководство по стилю», которое сообщает разработчикам, какое поведение разрешено, и явно обескураживает других. Например, запрещено использовать встроенный JavaScript — JavaScript, который не хранится в отдельном файле, — чтобы снизить риск атак на межсайтовый скриптинг.

,

расширения кода

Google также настоятельно не рекомендует использовать «eval», программную конструкцию, которая позволяет коду выполнять код и может создавать всевозможные угрозы безопасности. Они также не очень заинтересованы в подключаемых модулях, подключаемых к удаленным службам, не принадлежащим Google, поскольку это создает риск атаки типа «человек посередине» (MITM).

,

Это простые шаги, но по большей части они эффективны для обеспечения безопасности пользователей. Джаввад Малик, адвокат по безопасности в Alienware, считает, что это шаг в правильном направлении, но отмечает, что самой большой проблемой в обеспечении безопасности пользователей является проблема образования.

«Различать хорошее и плохое программное обеспечение становится все труднее. Перефразируя, одно легитимное программное обеспечение человека — это другой, крадущий личность, угрожающий конфиденциальности вредоносный вирус, закодированный в недрах ада.

«Не поймите меня неправильно, я приветствую решение Google об удалении этих вредоносных расширений — некоторые из них никогда не должны были публиковаться. Но задача, стоящая перед такими компаниями, как Google, заключается в контроле над расширениями и определении границ приемлемого поведения. Разговор, который выходит за рамки безопасности или технологии и является вопросом для общества, использующего Интернет в целом ».

Google стремится обеспечить информирование пользователей о рисках, связанных с установкой плагинов для браузера. Каждое расширение в магазине приложений Google Chrome четко указывает необходимые разрешения и не может превышать предоставленные вами разрешения. Если расширение просит сделать что-то необычное, у вас есть основания для подозрений.

Но иногда, как мы все знаем, вредоносное ПО проскальзывает.

Когда Google получает это неправильно

Google, на удивление, держит довольно узкий корабль. Мало что проскальзывает мимо их часов, по крайней мере, когда дело доходит до Интернет-магазина Google Chrome. Однако когда что-то происходит, это плохо.

  • AddToFeedly был плагином Chrome, который позволял пользователям добавлять веб-сайт в их RSS-ридер Feedly.

    Подписки. Он начал свою жизнь как законный продукт, выпущенный разработчиком-любителем, но был куплен за четырехзначную сумму в 2014 году. Затем новые владельцы добавили в плагин рекламное ПО SuperFish, которое вставляло рекламу в страницы и вызывало всплывающие окна. SuperFish приобрел известность в начале этого года, когда выяснилось, что Lenovo поставляла его со всеми недорогими ноутбуками с Windows.

    ,

  • Снимок экрана веб-страницы позволяет пользователям захватить изображение всей веб-страницы, которую они посещают, и установлено на более чем 1 млн. Компьютеров. Тем не менее, он также передает информацию о пользователях на один IP-адрес в Соединенных Штатах. Владельцы WebPage Screenshot отрицали какие-либо правонарушения и настаивают на том, что это было частью их практики обеспечения качества. С тех пор Google удалил его из Интернет-магазина Chrome.
  • Adicionar Ao Google Chrome был мошенническим расширением, которое захватывало аккаунты Facebook

    и делятся несанкционированными статусами, постами и фотографиями. Вредоносная программа распространялась через сайт, имитирующий YouTube, и предлагал пользователям установить плагин для просмотра видео. С тех пор Google удалил плагин.

Учитывая, что большинство людей используют Chrome для выполнения большей части своих вычислений, беспокоит то, что этим плагинам удалось пробиться сквозь трещины. Но, по крайней мере, процедура провалилась. Когда вы устанавливаете расширения из другого места, вы не защищены.

Так же, как пользователи Android могут установить любое приложение, которое они хотят, Google позволяет вам установить любое расширение Chrome

включая те, которые не приходят из Интернет-магазина Chrome. Это не просто для того, чтобы предоставить потребителям немного дополнительного выбора, но скорее для того, чтобы позволить разработчикам протестировать код, над которым они работали, прежде чем отправлять его на утверждение.

расширения-руководство

Однако важно помнить, что любое расширение, установленное вручную, не прошло строгие процедуры тестирования Google и может содержать все виды нежелательных действий.

Насколько вы рискуете?

В 2014 году Google обогнал Microsoft Internet Explorer как доминирующий веб-браузер и теперь представляет почти 35% интернет-пользователей. В результате, для тех, кто хочет быстро заработать или распространить вредоносное ПО, это остается заманчивой целью.

Google, по большей части, смог справиться. Были инциденты, но они были изолированы. Когда вредоносным программам удалось проскользнуть, они оперативно с ними справились и с тем профессионализмом, которого вы ожидаете от Google.

Однако ясно, что расширения и плагины являются потенциальным вектором атаки. Если вы планируете делать что-то деликатное, например войти в свой онлайн-банк, вы можете сделать это в отдельном браузере без плагинов или в инкогнито-окне. И если у вас есть какие-либо из перечисленных выше расширений, введите хром: // расширения / в адресной строке Chrome найдите и удалите их, чтобы быть в безопасности.

Вы когда-нибудь случайно устанавливали вредоносное ПО Chrome? Жить, чтобы рассказать историю? Я хочу услышать об этом. Оставьте мне комментарий ниже, и мы поговорим.

Авторы изображения: Молоток на осколках стекла через Shutterstock

Ссылка на основную публикацию
Adblock
detector